アクションの承認リンクを割り当てる

承認リンクを使用して、ユーザーの入力を待機している手動アクション（保留中のアクション）をプラットフォームの外部のユーザーに送信します。たとえば、Google Security Operations にアクセスできないエンドユーザーと連携している場合は、承認リンクをメールで送信できます。保留中のアクションウィジェットや [Your Workdesk] の [保留中のアクション] タブと同様に、エンドユーザーはどこからでもアクションを承認または拒否できます。

マネージド セキュリティ サービス プロバイダ（MSSP）として、エンドユーザーのサイトで感染したコンピュータを隔離したいが、その前にエンドユーザーの会社の IT マネージャーにこの操作を承認してもらいたい。このリクエストを IT マネージャーにメールで送信して、アクションの承認または拒否を求めるには、アクションで承認リンクを割り当てる必要があります。

アクションで承認リンクを割り当てる

このユースケースでは、MSSP が不審なフィッシング アラートに基づいてプレイブックを構築する方法について説明します。

1. 作成中のプレイブックで、[Carbon Black Quarantine Device] アクションを選択します。このアクションは、エンドユーザーに承認してほしいアクションです。
2. [Action Type] を [Manual] に変更します。[承認リンク] 切り替えが表示されます。
3. [承認リンク] をオンにします。これにより、ハンドブックのこのアクションの前のアクションで使用できるプレースホルダ（デバイスの隔離を承認または拒否するリンクを含む）が自動的に作成されます。
   手動アクションは、特定のユーザーまたは SOC ロールに割り当てるか、空白のままにすることができます。
4. 必要に応じて、[承認リンク] 切り替えと組み合わせて [応答時間] 切り替えを有効にできます。これにより、エンドユーザー（またはプラットフォーム内のすべてのユーザー）がリンクのいずれかをクリックしてメールに返信する必要がある特定の時間が指定されます。
5. ハンドブックの Carbon Black Quarantine Device アクションの直前に、Send Email アクションをドラッグします。
6. [メールを送信] アクションで、受信者のメールアドレスを入力します。
7. メール本文で、 data_array プレースホルダをクリックし、個々の [承認] リンクと [不承認] リンクをクリックして、メッセージに配置します。
8. プレースホルダを追加する前に、メールを作成していることを確認してください。
   上級者向けのヒント: 承認リンクがハイパーテキスト リンクとして表示されるように、文を HTML リンクで囲みます。
9. ハンドブックを保存します。

ハンドブックを保存すると、トリガーに一致する受信アラートによって実行が開始されます。フローが [メールを送信] ステップに到達すると、受信者に [承認] と [不承認] のアクション リンクを含むメールが送信されます。

これらの承認リンクは完全に移植可能です。カスタム プレイブック ビューの HTML ウィジェット、Slack に送信アクション、Twilio で SMS を送信アクションなど、さまざまな場所で使用できます。